すべてのプロダクト
Search
ドキュメントセンター

CloudOps Orchestration Service:リソースグループによるきめ細かなアクセス制御

最終更新日:Apr 23, 2026

リソースグループを活用することで、CloudOps Orchestration Service(OOS)リソースの一元管理が可能になり、RAM (Resource Access Management) ポリシーを用いたグループ単位でのきめ細かなアクセス制御を実現できます。これにより、Alibaba Cloud アカウントで最小権限の原則 (PoLP) を徹底できます。

説明

リソースグループレベルの権限設定は、サポート対象リソースタイプとアクションに限られます。サポート対象外アクションの場合、リソースグループに対するポリシーを指定しても無視されます。アクセス制御のため、アカウントに対するポリシーを設定する必要があります。

仕組み

リソースグループは、プロジェクトや環境ごとにリソースを整理します。リソースをグループ化したら、そのグループにのみ権限を限定する RAM ポリシーをアイデンティティ (RAM ユーザー、ユーザーグループ、ロールなど) にアタッチできます。詳細については、「リソースのグループ化と権限付与」をご参照ください。

このアプローチには、主に 2 つのメリットがあります。

  • きめ細かなアクセス制御:アカウント全体の権限を付与する代わりに、アイデンティティのアクセスを特定のグループ内のリソースのみに制限できます。これにより、プロジェクト固有のワークロードを分離し、意図しないアクセスのリスクを軽減できます。

  • 管理の簡素化:新しいリソースがリソースグループに追加されると、そのグループに限定された権限を持つ RAM アイデンティティは自動的にアクセスできます。新しいリソースが作成されるたびに RAM ポリシーを更新する必要はありません。

RAM ユーザーへのリソースグループレベルの権限付与

このセクションでは、特定のリソースグループ内のCloudOps Orchestration Service(OOS)リソースにのみアクセス権限を RAM ユーザーに付与する方法について説明します。

1. 前提条件

2. 権限付与

リソースグループレベルの権限は、Resource Management コンソールまたは RAM コンソールのいずれかから付与できます。

Resource Management コンソール

  • Resource Management コンソールにログインします。

  • [Resource Group] ページで、対象のリソースグループを見つけ、[Actions] 列の [Manage Permission] をクリックします。

  • [Permissions] タブで、[Grant Permission] をクリックします。

  • [Grant Permission] パネルで、プリンシパルとアクセスポリシーを設定します。

    • Principal:RAM ユーザーを選択します。

    • Policy[System Policy] または [Custom Policy] を選択します。詳細については、「カスタム権限ポリシーの作成」をご参照ください。

  • [Grant Permissions] をクリックします。

詳細については、「リソースグループに対する RAM アイデンティティへの権限付与」をご参照ください。

RAM コンソール

  • Alibaba Cloud アカウント (root ユーザー)または RAM 管理者アカウントを使用して、RAM コンソールにログインします。

  • 左側のメニューで、[Identities] > [Users]を選択します。[Users] ページで、対象の RAM ユーザーを見つけ、[Actions] 列の [Add Permissions] をクリックします。

  • [Grant Permission] パネルで、RAM ユーザーに権限を追加します。

    • Resource Scope[Resource Group] を選択します。

    • Principal:既存の RAM ユーザーまたは前のステップで作成した RAM ユーザーを選択します。

    • Access Policy[System Policy] または [Custom Policy] を選択します。詳細については、「カスタム権限ポリシーの作成」をご参照ください。

  • [OK] をクリックします。

詳細については、「RAM ユーザーへの権限付与」をご参照ください。

サポート対象リソース

以下のCloudOps Orchestration Service(OOS)リソースは、リソースグループレベルの権限付与をサポートしています。

Alibaba Cloud サービス

サービスコード

リソースタイプ

CloudOps Orchestration Service(OOS)

oos

execution : 実行

CloudOps Orchestration Service(OOS)

oos

parameter : 共通パラメーター

CloudOps Orchestration Service(OOS)

oos

patchbaseline : パッチベースライン

CloudOps Orchestration Service(OOS)

oos

secretparameter : 暗号化パラメーター

CloudOps Orchestration Service(OOS)

oos

stateconfiguration : 希望状態設定

CloudOps Orchestration Service(OOS)

oos

template : テンプレート

説明

上表に記載されていないリソースタイプのサポートをリクエストするには、Resource Management コンソールでフィードバックを送信してください。

image

サポート対象外アクション

以下のCloudOps Orchestration Service(OOS)アクションは、リソースグループレベルの権限付与をサポートしていません。

アクション

説明

oos:AnalyzeGitRepository

-

oos:BindGitAccount

-

oos:CancelExecutions

-

oos:CancelPublicTemplateRegistration

-

oos:Chat

-

oos:CheckGitRepoFileExists

-

oos:CheckGitRepositoryExists

-

oos:ContinueDeployApplicationGroup

-

oos:CreateAITask

-

oos:CreateChatConfiguration

-

oos:CreateDeployRevision

-

oos:CreateGitRepository

-

oos:CreateLingoConnection

-

oos:CreateOpsItemConfiguration

-

oos:DeleteApplicationGroup

-

oos:DeleteChatConfiguration

-

oos:DeleteDeployRevision

-

oos:DeleteOpsItemConfigurations

-

oos:DeployApplicationGroup

-

oos:DeployLingoApplication

-

oos:DescribeApplicationGroupBill

-

oos:DescribeRegions

-

oos:ForkGitRepository

-

oos:GenerateApplicationTemplate

-

oos:GenerateOpsItem

-

oos:GetAITask

-

oos:GetApplicationGroup

-

oos:GetChatConfiguration

-

oos:GetDeployRevision

-

oos:GetGitBranch

-

oos:GetGitRepository

-

oos:GetInventorySchema

-

oos:GetLingoSettings

-

oos:GetLingoTokenUsedDetails

-

oos:GetModelGenerationResult

-

oos:GetOpsItemConfiguration

-

oos:GetParametersByPath

-

oos:GetSecretParametersByPath

-

oos:GetServiceSettings

-

oos:InitializeApplicationManager

-

oos:LingoChat

-

oos:ListAITaskLogs

-

oos:ListAITasks

-

oos:ListActions

-

oos:ListApplicationGroupResources

-

oos:ListApplicationGroups

-

oos:ListChatConfiguration

-

oos:ListChatConfigurations

-

oos:ListChatConversations

-

oos:ListDeployRevisions

-

oos:ListExecutionRiskyTasks

-

oos:ListExecutionTasks

-

oos:ListGitAccounts

-

oos:ListGitBranches

-

oos:ListGitOrganizations

-

oos:ListGitRepositories

-

oos:ListGitRepositoryContents

-

oos:ListInstancePackageStates

-

oos:ListInstancePatchStates

-

oos:ListInstancePatches

-

oos:ListInstanceStateReports

-

oos:ListInventoryEntries

-

oos:ListLingoAppEnvVars

-

oos:ListLingoApps

-

oos:ListLingoConnectionSchemas

-

oos:ListLingoConnections

-

oos:ListLingoSkills

-

oos:ListPublicTemplateRegistrations

-

oos:ListQuickSetupConfigurations

-

oos:ListTagKeys

-

oos:ListTagValues

-

oos:ListTaskExecutionInvocations

-

oos:ListTemplateTaskOutputs

-

oos:ListTriggerTimes

-

oos:PublishTemplateVersion

-

oos:SearchInventory

-

oos:SetLingoSettings

-

oos:SetServiceSettings

-

oos:StartDebugExecution

-

oos:TagResources

-

oos:UnbindGitAccount

-

oos:UntagResources

-

oos:UpdateApplicationGroup

-

oos:UpdateChatConfiguration

-

oos:UpdateLingoApp

-

oos:UpdateOpsItemConfiguration

-

oos:ValidateTemplateContent

-

上記のアクションについては、 [Resource Scope] [Account] に設定し、カスタムポリシーを作成する必要があります。

image.png 以下のポリシー例は、必要に応じてカスタマイズ可能です。

  • 読み取り専用アクセスの許可

    {
      "Version": "1",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "oos:GetAITask",
            "oos:GetApplicationGroup",
            "oos:GetChatConfiguration",
            "oos:GetDeployRevision",
            "oos:GetGitBranch",
            "oos:GetGitRepository",
            "oos:GetInventorySchema",
            "oos:GetLingoSettings",
            "oos:GetLingoTokenUsedDetails",
            "oos:GetModelGenerationResult",
            "oos:GetOpsItemConfiguration",
            "oos:GetParametersByPath",
            "oos:GetSecretParametersByPath",
            "oos:GetServiceSettings",
            "oos:ListAITaskLogs",
            "oos:ListAITasks",
            "oos:ListActions",
            "oos:ListApplicationGroupResources",
            "oos:ListApplicationGroups",
            "oos:ListChatConfiguration",
            "oos:ListChatConfigurations",
            "oos:ListChatConversations",
            "oos:ListDeployRevisions",
            "oos:ListExecutionRiskyTasks",
            "oos:ListExecutionTasks",
            "oos:ListGitAccounts",
            "oos:ListGitBranches",
            "oos:ListGitOrganizations",
            "oos:ListGitRepositories",
            "oos:ListGitRepositoryContents",
            "oos:ListInstancePackageStates",
            "oos:ListInstancePatchStates",
            "oos:ListInstancePatches",
            "oos:ListInstanceStateReports",
            "oos:ListInventoryEntries",
            "oos:ListLingoAppEnvVars",
            "oos:ListLingoApps",
            "oos:ListLingoConnectionSchemas",
            "oos:ListLingoConnections",
            "oos:ListLingoSkills",
            "oos:ListPublicTemplateRegistrations",
            "oos:ListQuickSetupConfigurations",
            "oos:ListTagKeys",
            "oos:ListTagValues",
            "oos:ListTaskExecutionInvocations",
            "oos:ListTemplateTaskOutputs",
            "oos:ListTriggerTimes"
          ],
          "Resource": "*"
        }
      ]
    }
    
  • フルアクセスの許可

    {
      "Version": "1",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "oos:AnalyzeGitRepository",
            "oos:BindGitAccount",
            "oos:CancelExecutions",
            "oos:CancelPublicTemplateRegistration",
            "oos:Chat",
            "oos:CheckGitRepoFileExists",
            "oos:CheckGitRepositoryExists",
            "oos:ContinueDeployApplicationGroup",
            "oos:CreateAITask",
            "oos:CreateChatConfiguration",
            "oos:CreateDeployRevision",
            "oos:CreateGitRepository",
            "oos:CreateLingoConnection",
            "oos:CreateOpsItemConfiguration",
            "oos:DeleteApplicationGroup",
            "oos:DeleteChatConfiguration",
            "oos:DeleteDeployRevision",
            "oos:DeleteOpsItemConfigurations",
            "oos:DeployApplicationGroup",
            "oos:DeployLingoApplication",
            "oos:DescribeApplicationGroupBill",
            "oos:DescribeRegions",
            "oos:ForkGitRepository",
            "oos:GenerateApplicationTemplate",
            "oos:GenerateOpsItem",
            "oos:GetAITask",
            "oos:GetApplicationGroup",
            "oos:GetChatConfiguration",
            "oos:GetDeployRevision",
            "oos:GetGitBranch",
            "oos:GetGitRepository",
            "oos:GetInventorySchema",
            "oos:GetLingoSettings",
            "oos:GetLingoTokenUsedDetails",
            "oos:GetModelGenerationResult",
            "oos:GetOpsItemConfiguration",
            "oos:GetParametersByPath",
            "oos:GetSecretParametersByPath",
            "oos:GetServiceSettings",
            "oos:InitializeApplicationManager",
            "oos:LingoChat",
            "oos:ListAITaskLogs",
            "oos:ListAITasks",
            "oos:ListActions",
            "oos:ListApplicationGroupResources",
            "oos:ListApplicationGroups",
            "oos:ListChatConfiguration",
            "oos:ListChatConfigurations",
            "oos:ListChatConversations",
            "oos:ListDeployRevisions",
            "oos:ListExecutionRiskyTasks",
            "oos:ListExecutionTasks",
            "oos:ListGitAccounts",
            "oos:ListGitBranches",
            "oos:ListGitOrganizations",
            "oos:ListGitRepositories",
            "oos:ListGitRepositoryContents",
            "oos:ListInstancePackageStates",
            "oos:ListInstancePatchStates",
            "oos:ListInstancePatches",
            "oos:ListInstanceStateReports",
            "oos:ListInventoryEntries",
            "oos:ListLingoAppEnvVars",
            "oos:ListLingoApps",
            "oos:ListLingoConnectionSchemas",
            "oos:ListLingoConnections",
            "oos:ListLingoSkills",
            "oos:ListPublicTemplateRegistrations",
            "oos:ListQuickSetupConfigurations",
            "oos:ListTagKeys",
            "oos:ListTagValues",
            "oos:ListTaskExecutionInvocations",
            "oos:ListTemplateTaskOutputs",
            "oos:ListTriggerTimes",
            "oos:PublishTemplateVersion",
            "oos:SearchInventory",
            "oos:SetLingoSettings",
            "oos:SetServiceSettings",
            "oos:StartDebugExecution",
            "oos:TagResources",
            "oos:UnbindGitAccount",
            "oos:UntagResources",
            "oos:UpdateApplicationGroup",
            "oos:UpdateChatConfiguration",
            "oos:UpdateLingoApp",
            "oos:UpdateOpsItemConfiguration",
            "oos:ValidateTemplateContent"
          ],
          "Resource": "*"
        }
      ]
    }
    
重要

アカウントレベルの権限を付与すると、アカウント内のすべての関連リソースへのアクセスが許可されます。常に最小権限の原則に従ってください。

よくある質問

リソースがどのリソースグループに属しているかを確認するにはどうすればよいですか。

  • 方法 1:所属サービスのコンソールで確認

    • リソースが所属する Alibaba Cloud サービスのコンソールに移動します。通常、リソースの詳細ページの基本情報セクションにリソースグループが記載されています。

  • 方法 2:Resource Management コンソールで確認

    • Resource Management コンソールにログインします。

    • [Resource Center] > [Resource Search]を選択します。

    • 左側のメニューで、対象リソースを所有するアカウントを選択します (デフォルトは [Current Account]) を選択します。

    • フィルター条件を使用してリソースを検索します。

    • [Resource Group Name] 列に、リソースが属するグループが表示されます。

特定のリソースグループ内のすべてのリソースを表示するにはどうすればよいですか。

  • 方法 1:

    • Resource Management コンソールにログインします。

    • [Resource Center] > [Resource Search]を選択します。

    • 左側のメニューで、リソースを所有するアカウント (デフォルトは [Current Account]) の下にある、対象のリソースグループ名をクリックします。

    • 右側の画面で、[Select resource types] ドロップダウンリストからクラウドサービスを選択します。

    • そのグループ内のすべてのリソースが表示されます。

  • 方法 2:

    • Resource Management コンソールにログインします。

    • [Resource Group] > [Resource Group]を選択します。

    • 対象のリソースグループを見つけ、[Actions] 列の [Manage Resource] をクリックします。

    • リソース管理ページで、[Service] ドロップダウンリストからクラウドサービスを選択します。

    • そのグループ内のすべてのリソースが表示されます。

複数のリソースを別のリソースグループに一括で移動するにはどうすればよいですか。

  1. Resource Management コンソールにログインします。

  2. 左側のメニューで、 [Resource Group] > [Resource Group] を選択します。

  3. 対象のリソースグループを見つけ、[Actions] 列の [Manage Resource] をクリックします。

  4. リソース管理ページで、フィルター条件を使用して移動したいリソースを検索します。

  5. 移動したいリソースのチェックボックスを選択します。

  6. ページ下部にある [Transfer] をクリックします。

  7. ダイアログボックスで、移動先のリソースグループを選択し、 [Confirm] をクリックします。